Кибератаки на операторов связи в РФ стали тенденцией
<p><strong>За последние несколько недель произошло три эпизода, связанных с атаками на российских интернет-провайдеров, причем два из них были масштабными. Это может вывести волну киберпростивостояния на новый уровень, а в числе пострадавших рискуют оказаться и те, кто ответственно подходит к киберзащите.</strong></p> <p>Первый эпизод в этой череде событий произошел в ночь на 2 мая в подмосковном Красногорске. Клиенты крупнейшего в городе провайдера со смешным названием "АйПильсин" оказались без доступа к интернету. Выбор Красногорска вряд ли был случаен. Это не только один из крупнейших городов Московской области, но и ее фактическая столица. Плюс ко всему, в Красногорске находятся значимые оборонные предприятия, и атака на крупного по масштабам города провайдера могла их задеть, по крайней мере теоретически.</p> <p>Как оказалось, была выведена из строя вся инфраструктура "АйПильсина", причем перестали работать не только серверы, но даже городские телефоны в офисе. Сотрудникам компании для связи с абонентами пришлось использовать обычные бумажные объявления. На устранение последствий инцидента ушла почти неделя. По неофициальным данным, в инфраструктуру "АйПильсина" проникла вредоносная программа - шифровальщик или ее разновидность вайпер, - направленная на уничтожение данных, а не на вымогательство.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/220830/2022-06-22/2022-w25/vaypery-atakuyut</p> </blockquote> <p>Хотя дальнейшее развитие событий показало, что имела место, скорее, проба пера. В конце мая 2023 года была взломана инфраструктура провайдера "Миранда-медиа", который работает в Крыму и на новых территориях. "Злоумышленники проникли внутрь сети, полностью перехватили управление и сбросили настройки на всем оборудовании, включая коммутаторы в домах", - сообщил сотрудник одного из крымских провайдеров на условиях анонимности. Магистральный канал оператора прекратил работу на 15 часов, однако работоспособность некоторых сервисов, в том числе ключевых - вроде биллинговой системы, не удалось восстановить в течение месяца.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/227072/2023-06-28/2023-w26/miranda-media-sdala-krym-mesyac</p> </blockquote> <p>И наконец поздним вечером 28 июня прекратила работу сеть заметного российского спутникового провайдера "Дозор-Телепорт", треть которого контролирует "Росатом". Для атаки злоумышленники использовали инфраструктуру одного из облачных сервисов, где была размещена часть ресурсов провайдера. При этом атакующие не только зашифровали данные, но часть их похитили и разместили в специально созданном для этого Telegram-канале.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/227163/2023-07-03/2023-w27/khakery-obrushili-dozor-teleport-cherez-oblako</p> </blockquote> <p>Надо сказать, что атаки на интернет-провайдеров и в целом телекоммуникационные компании не являются сугубо российской спецификой. В течение первой половины 2023 года эксперты зафиксировали около 30 атак одних только шифровальщиков по всему миру. Специалист лаборатории компьютерной криминалистики компании F.A.С.С.T. Игорь Михайлов, комментируя ComNews атаку на "Дозор-Телепорт", обратил внимание на то обстоятельство, что на таких атаках специализируется 12 APT-группировок.</p> <p>Особую опасность для телеком-компаний представляют прогосударственные структуры. Их не интересует заработок в виде выкупа от жертвы - именно по этой причине они часто просто уничтожают данные, а не шифруют в расчете на то, что жертва шантажа заплатит. Кроме того, такие группировки часто выкладывают в публичный доступ данные атакованных компаний. Именно так поступили с "Дозор-Телепортом".</p> <p>Основной сценарий проникновения в инфраструктуру компании - прямой взлом, как правило, с помощью эксплуатации незакрытой уязвимости.</p> <p>По статистике российских компаний, ведущих тесты на проникновение, незакрытые уязвимости есть как минимум у 70% российских компаний. Среди телеком-операторов ситуация, скорее всего, хуже: они изначально использовали ПО под Unix-подобными операционными системами, для которых программные зловреды были огромной редкостью. Однако количество вредоносного ПО под такими системами в последние два года растет очень быстрыми темпами.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/227410/2023-07-13/2023-w28/positive-technologies-sistema-maxpatrol-vm-vyyavila-srednem-bolee-700-trendovykh-uyazvimostey-khode-odnogo-pilotnogo-proekta</p> </blockquote> <p>Плюс ко всему, взломав сеть, злоумышленники, как показывает пример "Миранда-медиа", могут сбросить настройки сетевого оборудования или просто уничтожить данные на серверах с помощью форматирования дисковых устройств.</p> <p>Другой сценарий связан с атакой на цепочку поставок. Примером тут является эпизод с "Дозор-Телепортом", который атаковали через облачный сервис, где была размещена часть его ресурсов. Обычно слабым звеном являются разного рода поставщики и подрядчики, сотрудники которых имеют прямой доступ к инфраструктуре компании, которую собираются атаковать. Количество таких атак кратно растет, что стало серьезной проблемой, причем не только для телеком-компаний.</p> <p>Наиболее простым с технической точки зрения способом внедрения зловреда, в том числе и шифровальщика, является атака через сотрудников. Злоумышленники чаще всего применяют фишинговые сценарии. Как показывает практика, каждый седьмой сотрудник, даже в компаниях с хорошо поставленной ИБ, поддается на приемы, применяемые авторами рассылок. Тем более что злоумышленники очень умело используют разного рода инфоповоды. А если фишинг целевой, когда атакующие знают, что происходит в компании, то вероятность удачи при атаке еще выше. Для внедрения зловреда обычно достаточно того, чтобы сотрудник открыл зараженное письмо.</p> <p>Часто злоумышленники действуют напрямую через сотрудников, в том числе и бывших. Не секрет, что логины и пароли уволенных очень часто забывают вовремя удалять, чем и пользуются киберпреступники. Да и действующих сотрудников также можно заставить сделать то, что нужно злоумышленникам, с помощью, например, подкупа, шантажа или разного рода манипуляций. Зачастую встречаются компании, менеджеры или совладельцы которых имеют гражданство других стран либо бизнес, активы или часть семьи на Западе. В ситуации геополитического противостояния такие люди могут оказаться прямым поставщиком информации для проправительственных киберпреступных групп - кто под давлением, а кто из-за риска потери гражданства или активов. Активно эксплуатируются и разного рода зависимости (наркотическая, игровая) как сотрудников, так и членов их семей.</p> <p>При этом атаки на сотрудников невозможно купировать с помощью одних только технических мер. Да, что-то могут отсечь антиспам-фильтры на почтовых шлюзах, что-то - контентные фильтры на шлюзах безопасности, но стопроцентной гарантии они не дадут, особенно если используется целевой фишинг или злоумышленники действуют через легитимные учетные записи сотрудников.</p> <p>Под угрозой находятся не только интернет-провайдеры, но и компании, которые оказывают смежные услуги, - например, поставщики облачных сервисов или операторы, обеспечивающие радио- и телевещание. Такая атака технически проста, относительно дешева и в той или иной форме повлияет на всех абонентов пострадавшей компании.</p> <p>Обычно говорят, что если имел место единичный эпизод, то это всего лишь эпизод. Если ситуация повторилась, то это совпадение. Но если это произошло трижды, то речь уже идет о тенденции. В нашем случае таких эпизодов как раз три, причем речь идет о случаях, о которых стало известно.</p> <p>Прогноз, к сожалению, можно дать только неблагоприятный. Количество таких атак будет расти - вопрос лишь в том, какими темпами. Злоумышленники увидели, что подобные атаки поражают большое количество целей и вызывают серьезный общественный резонанс, но при этом просты в исполнении и не требуют привлечения больших масс участников, как DDoS.</p> <p>Под ударом будет прежде всего телекоммуникационная инфраструктура на новых территориях, вдоль границ Украины, а также в Москве и ее ближайших пригородах. Возможно, под ударом окажутся и компании в городах, где много оборонных предприятий. Не исключены попытки атак и на провайдеров федерального масштаба.</p>